CeBIT-Studie: Zahl der Sicherheitslücken in Software wächst stark
Hannover (APA/AFP) - Die Zahl der Sicherheitslücken in Computerprogrammen hat einer Studie zufolge deutlich zugenommen. Ende 2014 seien rund...
Hannover (APA/AFP) - Die Zahl der Sicherheitslücken in Computerprogrammen hat einer Studie zufolge deutlich zugenommen. Ende 2014 seien rund 6.500 Software-Schwachstellen bekannt gewesen, gut 2.000 mehr als 2011, heißt es in einer Untersuchung des Potsdamer Hasso-Plattner-Instituts für Softwaresystemtechnik (HPI), die am Montag auf der CeBIT in Hannover präsentiert werden sollte.
Viele kritische Probleme betreffen demnach Browser, die laut Experten gern für Angriffe genutzt werden.
Das HPI sammelt für seine Datenbank seit 15 Jahren im Internet frei verfügbare Angaben über Software-Sicherheitslücken und -Probleme. Die Sammlung wird den Angaben zufolge mehrmals am Tag aktualisiert. Ihre bisherigen Höchststände erreichte die Zahl der erfassten Sicherheitslücken in den Jahren 2006 und 2008 mit jeweils knapp 7.000. Nun ist dieser Wert beinahe wieder erreicht.
Von den zuletzt erfassten rund 6.500 Schwachstellen betreffen laut HPI fast 70 Prozent die Vertraulichkeit der Programme - sie erlauben es also Angreifern unter Umständen, sensible Daten wie zum Beispiel Passwörter zu lesen. Gut die Hälfte aller Sicherheitslücken betreffen gleichzeitig auch die Verfügbarkeit, also die Erreichbarkeit eines bestimmten Dienstes, sowie die Integrität. Probleme bei der Integrität können Angreifern einen Schreibzugriff auf das Programm geben, sodass Daten oder das ganze System verändert werden können.
Seit einigen Jahren nehmen der Untersuchung zufolge vor allem als mittelschwer eingestufte Schwachstellen zu; Sicherheitslücken des höchsten Schweregrads werden hingegen seltener. HPI-Direktor Christoph Meinel erklärte, die Software-Hersteller hätten sich zuletzt darum bemüht, „besonders die kritischsten Lücken zu beseitigen“.
Unter den Betriebssystemen hat laut der Analyse Windows XP die meisten kritischen Schwachstellen, nämlich gut 500. Für das Programm werden seit April 2014 keine Sicherheits-Updates mehr angeboten, es wird aber weiterhin genutzt.
Bei Anwendungsprogrammen entfallen laut HPI besonders viele kritische Sicherheitslücken auf Browser: Für den Internet Explorer von Microsoft seien 700 solcher Schwachstellen gezählt worden, bei Chrome von Google 600 und beim Firefox von Mozilla 570. „Die Darstellungs-Software für Internet-Inhalte wird stets komplexer, weil Webseiten immer häufiger verschiedene Multi-Media-Formate und zusätzliche dynamische Inhalte verarbeiten können müssen“, erklärte Meinel. Deshalb wachse die Gefahr von Schwachstellen.
Browser sind Meinel zufolge der wohl am häufigsten genutzte Angriffspunkt für Hacker. Schließlich bewegten sich die Nutzer mithilfe dieser Programme im Internet, sodass sich hier ein guter Ansatz für Attacken biete.
In vielen Fällen werden Sicherheitslücken in Betriebssystemen und Anwendungen bald nach ihrer Entdeckung geschlossen. Chester Wisniewski vom Sicherheitssoftware-Anbieter Sophos riet vor diesem Hintergrund allen Internetnutzern, die genutzten Programme stets aktuell zu halten. Auch wenn es manchmal nerve - „klicken Sie auf den Update-Knopf“, sagte er am Montag der Nachrichtenagentur AFP auf der Cebit.
Um sich vor Angriffen zu schützen, sei es außerdem sehr wichtig, „unratbare“ Passwörter zu verwenden, sagte Wisniewski. Für verschiedene Dienste - z.B. das E-Mail-Konto, das Online-Banking und soziale Netzwerke - sollten möglichst verschiedene Passwörter benutzt werden.